Dall’inizio del conflitto russo-ucraino lo scenario delle minacce cyber, già aggravato dal periodo pandemico, è ulteriormente peggiorato. Sia la Russia sia l’Ucraina hanno condotto operazioni in campo digitale effettuando attacchi mirati alla neutralizzazione di siti web ufficiali o per raccolta di informazioni preziose e di propaganda.
Ma il conflitto fra le due fazioni si è ulteriormente allargato con il coinvolgimento del collettivo Anonymous pro-Ucraina ai danni della Russia e la contro risposta della componente Russa. La quale, con attaccanti e collettivi quali Killnet, ha invece mirato alle organizzazioni europee tra cui anche l’Italia, inondata da campagne malevole tanto da richiedere un intervento dell’Agenzia Nazionale per la Cybersecurity volto ad informare e richiedere e guidare un processo di innalzamento delle le difese digitali (mediante alert e avvisi dal CSIRT).
E, da pochi giorni, sono state previste misure per autorizzare operazioni di intelligence in ambito cyber come misura attiva di contrasto.
La Russia non è una super potenza della cyber: ecco le prove
Indice degli argomenti
Le modifiche al DL Aiuti bis e le cyber operations
A livello nazionale si è, infatti, resa necessaria una “chiamata all’innalzamento delle misure di resilienza” con numerosi avvisi da parte del CSIRT nazionale, tutt’oggi in stato di “Difesa alta”. Ma ad ulteriore misura di completamento è stato presentato in bozza un articolo al DL Aiuti bis che prevede misure di contrasto attivo in ambito cyber.
Pubblicato in forma di bozza dall’agenzia Ansa lo schema del documento DL Aiuti bis presenta all’art. 37 le “Disposizioni in materia di intelligence in ambito cibernetico” ovvero “disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale” coinvolgendo se necessario il Ministero della difesa e con la certezza di poter ricorrere alle garanzie funzionali di cui all’articolo 17 della legge 3 agosto 2007, n. 124 (salvaguardie per quelle condotte normalmente considerate reato ma legittimamente autorizzate di volta in volta in quanto indispensabili alle finalità istituzionali dei servizi resi per l’interesse nazionale n.d.r.).
Le disposizioni saranno “autorizzate in rapporto al rischio per gli interessi nazionali coinvolti, secondo criteri di necessità e proporzionalità” si legge ancora; dunque, AISE e AISI le due agenzie autorizzate, avranno indicazioni chiare in coordinamento con il DIS. Sempre nel DL aiuti, l’articolo 38 “Disposizioni in tema di ricerca informativa e operazioni all’estero è invece “in valutazione”.
Lo scenario cyber influenzato dal conflitto
Le misure graduali di difesa e di “intelligence attiva”, si sono rese necessarie a causa di uno scenario cyber progressivamente minaccioso. Infatti, dopo oltre cinque mesi di combattimenti tra Russia e Ucraina, l’Europa continua ancora oggi ad assistere a un aumento significativo degli attacchi informatici.
Tutti i paesi europei hanno aumentato la propria sicurezza informatica creando task force speciali e coinvolgendo specialisti nei comandi nazionali cyber, ove esistenti. Non si creda che in Russia la minaccia non influisca anche sulle organizzazioni interne stesse. Infatti, la banda di ransomware OldGremlin prende di mira le organizzazioni in Russia dalla primavera del 2020 ed è recentemente riemerso con campagne che, sfruttano le sanzioni che stanno attualmente colpendo il paese, approfittando del fatto che più fornitori di prodotti per la sicurezza hanno sospeso le loro operazioni in Russia ampliando l’esposizione degli obiettivi. In particolare, la gang ha sfruttato un servizio cloud (Dropbox) per diffondere contenuti dannosi.
Paolo Passeri, Cyber Intelligence Principal di Netskope, spiega che gli eventi in questione solo solo un esempio di come la situazione che si è venuta a creare in Ucraina stia influenzando il cyber spazio nei fronti di Russia e Ucraina, e di altri paesi coinvolti direttamente o indirettamente in entrambi gli schieramenti come la Bielorussia o paesi europei della Nato o coinvolti nella gestione della crisi umanitaria.
Già dall’inizio dell’invasione si è assistito a una intensificazione delle operazioni da parte di attori di tipo state-sponsored verso obbiettivi in Ucraina o in nazioni europee indirettamente interessate al conflitto (approfondimenti si veda l’analisi del Threat Analyst Group- TAG).
In una modalità del tutto inedita, anche i gruppi criminali russi si sono uniti al conflitto virtuale scatenando reazioni a catena: ad esempio, il giorno successivo all’invasione Russa, il noto gruppo criminale ransomware Conti ha annunciato il proprio supporto ufficiale al Cremlino minacciando attacchi di ritorsione alle infrastrutture critiche dei paesi protagonisti di azioni ostili, reali o virtuali, contro la Russia (fonte: Reuters).
Come risposta “a tono”, un ricercatore Ucraino ha effettuato il leak del codice sorgente del gruppo, oltre ad altre informazioni relative a chat interne del gruppo e lo stesso codice sorgente è stato successivamente utilizzato per lanciare campagne contro obbiettivi in Russia (fonte: Abrams).
L’allargamento del conflitto è stato causato anche dal coinvolgimento del collettivo Anonymous e di altri gruppi di matrice attivista contro obbiettivi Russi. La guerra virtuale si è palesata con attacchi di DDoS verso organizzazioni russe, come la Borsa di Mosca e le principali banche del paese e leak di dati appartenenti ad entità russe operanti in vari settori.
Attacchi distruttivi
Ultimo e non meno importante, per la prima volta si è assistito a vere e proprie operazioni distruttive di cyberwar. Non solo nei giorni immediatamente precedenti all’invasione molteplici organizzazioni in Ucraina sono state colpite da malware di tipo distruttivo (HermeticWiper, IsaacWiper, e CaddyWiper), ma la furia distruttiva di queste operazioni ha raggiunto livelli mai visti prima e poco rassicuranti per il futuro).
L’esempio più eclatante è il malware di tipo wiper AcidRain, che si ritiene essere di matrice russa, che ha reso inoperabile in Ucraina la rete dell’operatore satellitare Viasat il giorno dell’invasione con ripercussioni prevedibili per altri provider europei. Questo attacco si è unito ai numerosi ulteriori attacchi DDoS verso gli operatori di telecomunicazioni Ucraini Ukrtelecom e Triolan e anche ad interferenze dei sistemi di navigazione GPS nei cieli di molteplici nazioni del nord Europa.
“Personalmente”, conclude Paolo Passseri, “ritengo comunque l’attacco più originale il sabotaggio del popolare pacchetto nope node-ipc“.
